Cybersecurity -onderzoekers hebben bekendgemaakt wat ze zeggen is een “kritische ontwerpfout” in gedelegeerde beheerde serviceaccounts (DMSA’s) geïntroduceerd in Windows Server 2025.
“De fout kan leiden tot een hoge impact, waardoor cross-domein laterale beweging en aanhoudende toegang tot alle beheerde serviceaccounts en hun bronnen voor onbepaalde tijd in Active Directory mogelijk worden gemaakt,” zei Semperis in een rapport gedeeld met The Hacker News.
Anders gezegd, succesvolle exploitatie kan tegenstanders toestaan om authenticatie -vangrails te omzeilen en wachtwoorden te genereren voor alle gedelegeerde beheerde serviceaccounts (DMSA’s) en Group Managed Service Accounts (GMSA’s) en hun bijbehorende serviceversaccounts.
De methode doorzettingsvermogen en privilege is gecodeerd Gouden DMSAmet het cybersecuritybedrijf dat het als lage complexiteit beschouwt vanwege het feit dat de kwetsbaarheid het genereren van brute-force wachtwoord vereenvoudigt.
Om slechte actoren te kunnen exploiteren, moeten ze echter al in het bezit zijn van een Root -sleutel van de Key Distribution Service (KDS) die doorgaans alleen beschikbaar is voor bevoorrechte accounts, zoals root -domeinbeheerders, enterprise -beheerders en systeem.
Beschreven als het kroonjuweel van de GMSA -infrastructuur van Microsoft, dient de KDS -rootsleutel als een hoofdsleutel, waardoor een aanvaller het huidige wachtwoord kan afleiden voor een DMSA- of GMSA -account zonder verbinding te maken met de domeincontroller.
“De aanval maakt gebruik van een kritieke ontwerpfout: een structuur die wordt gebruikt voor de berekening van het wachtwoord-generatie bevat voorspelbare tijdgebaseerde componenten met slechts 1.024 mogelijke combinaties, waardoor brute-force wachtwoordgeneratie rekenkundig triviaal is,” zei beveiligingsonderzoeker Adi Malyanker.
Delegeerde Managed Service Accounts is een nieuwe functie geïntroduceerd door Microsoft die migratie van een bestaande Legacy Service -account mogelijk maakt. Het werd geïntroduceerd in Windows Server 2025 als een manier om Kerberoasting -aanvallen tegen te gaan.
De machine -accounts binden authenticatie rechtstreeks aan expliciet geautoriseerde machines in Active Directory (AD), waardoor de mogelijkheid van diefstal van referenties wordt geëlimineerd. Door de authenticatie aan apparaatidentiteit te binden, hebben alleen opgegeven machine -identiteiten die in AD zijn toegewezen toegang tot het account.
Golden DMSA, vergelijkbaar met Golden GMSA Active Directory -aanvallen, speelt over vier stappen af zodra een aanvaller verhoogde privileges binnen een domein heeft verkregen –
- Het extraheren van KDS -wortelsleutelmateriaal door te verhogen naar systeemrechten op een van de domeincontrollers
- Opsomming van DMSA-accounts met behulp van LSAOPENPOLICY en LSALOOKUPSIDS API’s of via een lichtgewicht directory Access Protocol (LDAP) -gebaseerde benadering
- Het identificeren van het kenmerk van het managedPasswordId en wachtwoordhashes door gerichte gok
- Geldige wachtwoorden genereren (dwz Kerberos -tickets) voor elke GMSA of DMSA die is geassocieerd met de gecompromitteerde sleutel en ze testen via Pass de hash of de hash -technieken
“Dit proces vereist geen extra bevoorrechte toegang zodra de KDS -rootsleutel is verkregen, waardoor het een bijzonder gevaarlijke persistentiemethode is,” zei Malyanker.
“De aanval benadrukt de kritische trustgrens van beheerde serviceverslagen. Ze vertrouwen op cryptografische sleutels op domeinniveau voor beveiliging. Hoewel automatische wachtwoordrotatie uitstekende bescherming biedt tegen typische geloofsaanvallen, domeinbeheerders, DNSADMINS en print operatoren kunnen deze beschermingen volledig omzeilen en volledig in gevaar brengen en volledig kunnen omzeilen.
Semperis merkte op dat de Golden DMSA-techniek de inbreuk verandert in een bosbrede aanhoudende achterdeur, gezien het feit dat het compromitteren van de KDS-wortelsleutel van een enkel domein in het bos voldoende is om elk DMSA-account over alle domeinen in dat bos te schenden.
Met andere woorden, een enkele KDS-wortelsleutelextractie kan worden bewapend om het compromis van het cross-domein account, bosbrede inloggegevens en laterale beweging over domeinen te bereiken met behulp van de gecompromitteerde DMSA-accounts.
“Zelfs in omgevingen met meerdere KDS -rootsleutels, gebruikt het systeem consequent de eerste (oudste) KDS -root -sleutel om compatibiliteitsredenen,” merkte Malyanker op. “Dit betekent dat de oorspronkelijke sleutel die we hebben gecompromitteerd, kan worden bewaard door het ontwerp van Microsoft – het creëren van een aanhoudende achterdeur die jaren zou kunnen duren.”
Nog meer zorgwekkend is dat de aanval de normale beschermingsbescherming van de referentie volledig omzeilt, die worden gebruikt om NTLM -wachtwoordhashes, Kerberos -ticket die tickets (TGT’s) en inloggegevens te verlenen, zodat alleen bevoorrechte systeemsoftware er toegang toe heeft.
Na verantwoorde openbaarmaking op 27 mei 2025 zei Microsoft: “Als u de geheimen hebt die worden gebruikt om de sleutel af te leiden, kunt u zich als die gebruiker verifiëren. Deze functies zijn nooit bedoeld om te beschermen tegen een compromis van een domeincontroller.” Semperis heeft ook een open-source vrijgegeven als proof-of-concept (POC) om de aanval aan te tonen.
“Wat begint als één DC-compromis escaleert naar het bezitten van elke DMSA-beschermde service in een heel bedrijfsbos,” zei Malyanker. “Het is niet alleen voorrechten escalatie. Het is bedrijfsbrede digitale overheersing door een enkele cryptografische kwetsbaarheid.”
